域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

作為保障網(wǎng)絡(luò)安全的主要設(shè)備，經(jīng)過(guò)多年的發(fā)展，防火墻技術(shù)已逐漸成熟。即便如此，用戶在購(gòu)買(mǎi)防火墻時(shí)仍需擦亮眼睛。

防火墻是一種在內(nèi)外網(wǎng)邊界上部署的訪問(wèn)控制裝置，用于防止未經(jīng)授權(quán)的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的通信。防火墻主要分為三種類型：簡(jiǎn)單的包過(guò)濾防火墻、狀態(tài)/動(dòng)態(tài)檢測(cè)防火墻、應(yīng)用代理防火墻。

防火墻控制是網(wǎng)絡(luò)數(shù)據(jù)的對(duì)象，通過(guò)對(duì)用戶的2到7層的策略進(jìn)行檢查，根據(jù)檢查結(jié)果決定接受，下降或限制流量。雖然實(shí)際的防火墻也可以取代路由器和交換機(jī)的一部分，但對(duì)這些功能的結(jié)果太多的重點(diǎn)只能是物物交換。

由于防火墻設(shè)備在網(wǎng)絡(luò)中的引入，防火墻的必然要求可以提供相應(yīng)的支持，包括管理，環(huán)境適應(yīng)能力，與現(xiàn)有的交換機(jī)/路由器的互連，吞吐能力和適當(dāng)?shù)难舆t。這種防火墻不會(huì)網(wǎng)絡(luò)瓶頸。這些功能實(shí)際上是對(duì)防火墻的附加要求，雖然它是必要的，但不給用戶帶來(lái)附加值，它的整體要求是最好的。

雖然防火墻的開(kāi)發(fā)時(shí)間比較長(zhǎng)，但技術(shù)相對(duì)比較成熟，但新的防火墻概念，新技術(shù)仍在層出不窮。那么，如何對(duì)防火墻進(jìn)行真正的評(píng)價(jià)呢？還必須從用戶使用角度進(jìn)行深入的分析，從功能、性能、管理、穩(wěn)定性三個(gè)方面進(jìn)行調(diào)查。

功能，表現(xiàn)為“雙層皮”

功能和性能一直是用戶評(píng)價(jià)防火墻的主要方面，尤其是由于其可量化的性能，更是對(duì)比的焦點(diǎn)，但真正理解這2個(gè)問(wèn)題是不容易的。為了適應(yīng)用戶的環(huán)境是復(fù)雜的和需要的，為了有一個(gè)“賣(mài)點(diǎn)”，現(xiàn)在的防火墻一般都有很多功能，這些功能都沒(méi)有任何問(wèn)題，如熱備功能已經(jīng)通過(guò)測(cè)試，動(dòng)態(tài)應(yīng)用的支持也測(cè)試通過(guò)，但在實(shí)際環(huán)境中，我們可以在熱備使用視頻會(huì)議的需要和要求而不中斷的視頻開(kāi)關(guān)。

這可能是一些防火墻是不是，和類似的功能組合是用戶真正需要的。此外，防火墻功能和性能一般會(huì)獨(dú)立評(píng)估，功能測(cè)試和性能測(cè)試和功能測(cè)試涉及單一功能，性能測(cè)試約2，三個(gè)簡(jiǎn)單的應(yīng)用性能，導(dǎo)致性能作為一個(gè)功能的“雙皮”，不能真正反映了防火墻功能：測(cè)試性能是非常高的，但許多功能不能使用，在實(shí)際使用時(shí)，打開(kāi)所有常用的功能，性能變得非常低。因此，有必要對(duì)防火墻的性能和功能進(jìn)行評(píng)估，以評(píng)估防火墻的性能。

具體的評(píng)價(jià)應(yīng)該從以下幾個(gè)方面展開(kāi)：

•2～7層的訪問(wèn)控制功能，特別是濾波層深度的應(yīng)用。函數(shù)應(yīng)該能夠地址映射、端口映射、主干VLAN支持、用戶認(rèn)證、動(dòng)態(tài)包過(guò)濾，對(duì)使用任意組合的流量控制等功能。

•安全功能，重點(diǎn)放在抗synflood攻擊。目前，在“黑客”的攻擊行為，最常用的，最有效的是DDoS（分布式拒絕服務(wù)攻擊），這是由于服務(wù)器拒絕服務(wù)。防火墻作為網(wǎng)絡(luò)的一個(gè)渠道，來(lái)保證網(wǎng)絡(luò)的安全保護(hù)，需要重點(diǎn)關(guān)注的安全保護(hù)功能可以過(guò)濾攻擊的同時(shí)保證正常訪問(wèn)，是否源地址攻擊和真實(shí)源地址攻擊同時(shí)有效地欺騙，可以保護(hù)服務(wù)器免受沖擊。這個(gè)函數(shù)應(yīng)該能夠地址映射、端口映射、主干VLAN支持、用戶認(rèn)證、動(dòng)態(tài)包過(guò)濾、流量控制等同時(shí)或任意組合。

•實(shí)際性能。性能測(cè)試一般包括六個(gè)方面：吞吐量、延遲、丟包率、回接、并發(fā)連接數(shù)、新連接率，實(shí)際性能是在接近實(shí)際用戶使用性能的。

•新連接率。由于網(wǎng)絡(luò)應(yīng)用的波動(dòng)較大，即在不同的時(shí)間訪問(wèn)特性的差異，防火墻也能適應(yīng)這種情況，相應(yīng)的指標(biāo)，新的連接速率?？紤]到用戶網(wǎng)絡(luò)的復(fù)雜性和應(yīng)用，還需要打開(kāi)常用的功能，如：數(shù)據(jù)包過(guò)濾、內(nèi)容過(guò)濾、抗攻擊等情況，測(cè)試新的連接速率。

管理是關(guān)鍵

用戶要使用安全的防火墻系統(tǒng)，就要實(shí)現(xiàn)一套防火墻的安全策略，這是對(duì)防火墻的實(shí)際操作人員提出了更高的要求。由于不同防火墻的管理存在差異，因此，管理者的管理難度可能會(huì)導(dǎo)致錯(cuò)誤配置，從而使網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。因?yàn)槊總€(gè)網(wǎng)絡(luò)管理員都不能被要求成為網(wǎng)絡(luò)安全專家，所以管理是網(wǎng)絡(luò)安全的關(guān)鍵。刪除權(quán)限管理、通信加密等，還需要把重點(diǎn)放在管理上的方便性和集中管理的這2個(gè)方面。

單一管理方便，防火墻應(yīng)該提供各種管理，為管理員在不同的使用場(chǎng)合，如高級(jí)別的管理員進(jìn)行全面管理防火墻的串口命令行模式；遠(yuǎn)程維護(hù)和管理SSH方式；網(wǎng)絡(luò)遠(yuǎn)程配置；圖形用戶界面的遠(yuǎn)程配置和監(jiān)控。

其中，網(wǎng)頁(yè)模式無(wú)需安裝客戶端軟件，更方便靈活；圖形用戶界面安裝更麻煩，但靈活性強(qiáng)。早期：很多服務(wù)器管理員，當(dāng)服務(wù)器受到攻擊的時(shí)候直接安裝個(gè)軟件防火墻。實(shí)際上這樣的作用并不大，因?yàn)橐呀?jīng)到了服務(wù)器的應(yīng)用層。不管怎樣，流量已經(jīng)是到服務(wù)器的網(wǎng)卡，比如攻擊者一旦加大流量，帶寬耗盡自然全部掛了。

針對(duì)早幾年攻擊流量小作用是非常明顯，而且優(yōu)點(diǎn)是成本低，也許幾百塊就可以解決問(wèn)題。現(xiàn)在時(shí)代不同了，動(dòng)不動(dòng)就是幾十G上百G的攻擊無(wú)處不在。高防CDN是從接入層以及網(wǎng)絡(luò)層+應(yīng)用層來(lái)解決問(wèn)題，比較適合于現(xiàn)在的大流量攻擊。攻擊者發(fā)起攻擊后，流量會(huì)直接到高防接入硬件防火墻，集群防火墻會(huì)過(guò)濾過(guò)99%以上的攻擊應(yīng)用，仍有大量的CC可能沒(méi)有辦法完全過(guò)濾。CC流量到了CDN節(jié)點(diǎn)服務(wù)器，通過(guò)限制訪問(wèn)頻率以及其它防CC策略實(shí)現(xiàn)封停無(wú)效的IP。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！